Analytikere advarer om ny malware-kampagne målrettet militære og finansielle organisationer
Hjem SIKKERHED Analytikere advarer om ny malware-kampagne målrettet militære og finansielle organisationer

Analytikere advarer om ny malware-kampagne målrettet militære og finansielle organisationer

Af Redaktionen

For nyligt kunne trusselsanalytikere fra Kaspersky linke mere end 300 tilfælde af en malware kaldet Bisonal til en kampagne udført af den velkendte hackergruppe CactusPete – en cyberspionagegruppe, der har været aktiv siden 2012.

Analytikere advarer om ny malware-kampagne målrettet militære og finansielle organisationer

Analytikere advarer om ny malware-kampagne målrettet militære og finansielle organisationer

CactusPete, også kendt som Karma Panda eller Tonto Teaь, er en cyberspionagegruppe, der har været aktiv siden 2012. De har ændret deres malware og går nu efter den militære og finansielle sektor.  Målet er højst sandsynligt at få adgang til fortrolige oplysninger. Derudover antyder den hastighed, hvormed de nye malware-prøver er oprettet, at gruppen udvikler sig hurtigt. Derfor bør organisationer indenfor den militære og finansielle sektor være på vagt, advarer Kaspersky.

Denne seneste bølge af aktiviteter blev første gang bemærket af Kasperskys analytikere i februar 2020, da de så en opdateret version af gruppens bagdør, Bisonal. Ved at analysere den ondsindede kode for ligheder med allerede eksisterende koder, som bruges af kendte cyberkriminelle, kunne analytikerne forbinde denne ene malware-prøve med 300 andre.

Alle 300 prøver dukkede op mellem marts 2019 og april 2020 – ca. 20 prøver om måneden – hvilket understreger, at CactusPete har fart på. Faktisk forsætter gruppen med at forfine sine taktikker og få adgang til mere sofistikerede koder som ShadowPad.

Overtager systemer og høster kritisk information

Funktionaliteten i malwaren antyder, at gruppen er ude efter meget følsom information. Når den anvendte Bisonal-bagdør er installeret på offerets enhed, giver den gruppen mulighed for diskret at starte forskellige programmer, afslutte processer, uploade, downloade og slette filer samt hente en liste over tilgængelige drev. Når operatørerne har trængt sig dybere ind i det inficerede system, distribuerer de såkaldte ’keyloggers’, der registrer al aktivitet på tastaturet, så de kan høste legitimationsoplysninger og downloade ’privilege escalation’-malware, der gradvist giver dem mere og mere kontrol over systemet.

Det er uklart, hvordan bagdøren downloades i denne seneste kampagne. Tidligere har CactusPete primært været afhængig af spear-phishing, som er e-mails med ondsindede vedhæftede filer. Hvis de vedhæftede filer åbnes, bliver enheden inficeret.

”CactusPete er en ret interessant APT-gruppe, fordi den faktisk ikke er så avanceret – heller ikke Bisonal-bagdøren. Deres succes kommer ikke fra sofistikeret teknologi eller kompleks distribution og tilslørede taktikker, men fra en vellykket anvendelse af socialtekniske greb, hvor de manipulerer ofrene til at give dem adgang. Således er de er i stand til at inficere store mål, fordi deres ofre klikker på phishing-e-mails og åbner de ondsindede vedhæftede filer. Dette er et godt eksempel på, hvorfor phishing fortsat er en så effektiv metode til at igangsætte et cyberangreb – og hvorfor det er så vigtigt for virksomhederne at uddanne deres medarbejdere i, hvordan de spotter sådanne e-mails og holder sig opdaterede på de seneste trusler” kommenterer Konstantin Zykov, senior sikkerhedsforsker hos Kaspersky.

Læs mere om CactusPetes seneste aktivitet på Securelist.

For at beskytte din organisation mod CactusPete og andre trusselsaktører anbefaler Kaspersky følgende:

  • Giv dit Security Operations Center (SOC)-team adgang til den nyeste trusselsinformation, og hold dig opdateret omkring nye og nye værktøjer, teknikker og taktikker, der bruges af trusselaktører og cyberkriminelle.
  • Implementer EDR-løsninger, såsom Kaspersky Endpoint Detection and Response, som kan hjælpe dig med at opdage, undersøge og fikse endpoints i rette tid.
  • Giv dit personale en grundlæggende uddannelse i cybersikkerheds-hygiejne – mange angreb starter med phishing eller andre social engineering-teknikker. Udfør et simuleret phishing-angreb for at sikre, at de ved, hvordan de identificerer phishing-e-mails.
  • For hurtigt at kunne forbinde nye ondsindede prøver med kendte angrebsaktører kan du implementere Kaspersky Threat Attribution Engine.

Relaterede artikler

Vi bruger cookies og andre identifikatorer for at forbedre din oplevelse. Dette giver os mulighed for at sikre din adgang, analysere dit besøg på vores hjemmeside. Det hjælper os med at tilbyde dig personlig indhold og nem adgang til nyttige oplysninger. Klik på "Jeg accepterer" for at acceptere vores brug af cookies og andre identifikatorer eller klik på "Flere oplysninger" for at justere dine valg. jeg godkender Flere oplysninger >>